SSL证书安装文档

证书的申请及操作说明书
2013.02.21
一说明
证书购买原因：因为项目需求，要用到SSL证书，所以需要买SSL证书,我们是从北京埃欧信科技有限公司代买的证书。

购买方式：我们是按域名购买的证书，也就是说，证书是绑定域名的。

当然也可以按照企业去购买。

需要文件：主要是我们需要先在本地用JAV A的keytool命令生成keystores文件，即后缀为kdb的文件，和csr文件。

也就是密钥文件和证书文件，这个密钥文件很重要，它里面有申请证书的信息，譬如需要授权的域名，组织机构信息等。

Csr文件更为重要，本人就是在这里吃了大亏，绕了很多弯路，后来发现kdb文件和csr文件不匹配，最后从新提交申请，从新授权了一下才可以的。

所以再做keytool命令时候，应该格外仔细和认真。

操作说明：本人申请的是window服务器weblogic容器的SSL证书linux的就不清楚了，因为项目中是windows服务器。

我要购买的域名为（仅供参考）。

第一步骤：
首先在一台安装有sun JDK的机器上进行如下操作：
1.点【开始】在【运行】中输入cmd进入DOS窗口，进入到jdk的bin目录下
如图
2.然后输入如下命令
（1）keytool-genkey-alias tomcat-keyalg rsa-keystore d:\mydomain.kdb-keysize2048如图：
提示输入密码，（这个密码很重要，要记好这个密码，之后还要用）。

本人输入的密码是：changeit
然后会出现如图所示界面
如图:
说明：首先本人是按照域名购买SSL证书的对吧，那么这里最关键的就是您的名字与姓氏是什么？因为美国的证书机构会根据这个的名字确定域名，您明白吗？就是说这里填的应该是要被授权的域名。

其次，组织单位名称，组织名称，这个就随便啦，简单填写一下，这个不会出现在授权的证书显示的页面上，所以简单些一下就OK,但是建议是英文或者汉语拼音。

之后，城市或区域名称？州或省份名称？这个也不是很重要，但是建议填写城市的英文名称或者中文名字的汉语拼音。

最后,该单位的两字母国家代码？这个因为咱们都是中国人嘛所以填写CN注意CN 要大写哦！
最后问是否确认？输入y按回车即可！
（2）在操作完上述操作后，会出现如图所示界面：
如图：
这里是问tomcat的主密码：这个密码也要记住，因为之后配置容器的时候要用到该密码。

我填写的是changeit建议和上面的密码相同。

在操作完上述步骤后，可以到D盘下看看是否生成了我们的密钥文件。

（3）继续，输入如下命令，生成咱们的csr文件吧
keytool-certreq-alias tomcat-keystore d:\mydomain.kdb-file d:\mydomain.csr
这里的密码是咱们第一次生成密钥文件时候的密码changeit
这个时候我们去D盘查看一下应该有两个文件啦
（4）把刚刚生成的mydomain.csr文件提交给北京埃欧信科技有限公司的联系人，然后就可以小小的休息一下啦。

因为这之后要做的事情是需要等待的。

（5）补充说明：
将文件提交之后，还需提交一下域名SSL证书申请表，这个需要技术负责人提交这个申请表到北京埃欧信科技有限公司的联系人指定的邮箱中，注意：这个技术负责人需要用该域名的邮箱提交邮件，如本人应该用zhaopeng@后缀名为@shenhua的邮箱提交申请，这样才能保证证书被签下来，否则如果拿一个很随便的sina或者163之类的邮箱，可能会引起不信任，从而不授权。

这一点需要注意。

证书必须在技术负责人提交申请后的大概一天时间才能被授权，不提交就不会授权。

这也需要注意的。

之后还要知道域名管理员的邮箱密码如本人域名为所以域名管理员邮箱为admin@这个邮箱很重要啊。

在把域名SSL证书申请表填写好后用zhaopeng@邮箱提交到指定邮箱后，第二天，域名管理员邮箱会受到一封邮箱，也就是admin@这个邮箱受到了一封英文的邮件，如图所示，内容全部英文啊（也可能是美语，老兄我英文不好），大概意思是说，让你点一下邮件中的链接，然后去授权申请人接收证书邮件（就是说有个链接你点一下，那个链接的页面有个同意的按钮，你点一下就OK）
邮件截图：
点击那个链接：出现如图所示网页然后点击下面的同意即可！
点击同意之后可能要稍等一些时间，不会很长。

之后就可以到提交申请的那个邮箱，去收证书授权邮件啦！我的邮箱是zhaopeng@这个邮箱会收到两封邮件（注意：有时候会收到很多封邮件，全部英文的，但是内容一样的，这个只能算是一封邮件啦，所以应该受到两封内容不一样的邮件）如果发现少了，立刻与联系人联系。

邮件如图：
两封邮件内容
第一封邮件，这个邮件里面有很多的链接（这封邮件不是很重要啊）
第二封邮件这个邮件里面有个很长的链接，那个链接很重要哦！
这个邮件才是真正获取证书的邮件。

点击链接出现如图所示页面（我后悔没有截图，文档是事后写的，发现那个链接已经失效了，为了保证安全啊，链接只在一定时间内有效）该图为大概的截图
链接的页面和这个页面差不多，只是页面有两部分，左侧有四个连接，记得貌似是查看证书，下载证书，重新申请，撤销证书。

貌似是这四个，其中有个查看证书，点进去，里面有个下载按钮，下载下来，文件的后缀名字为后缀为p7s的文件，名字应该是你的域名加上.p7s如我的是www_shenhua_com.p7s这个文件很重要哦
下载www_shenhua_com.p7s这个文件之后我们就可以导入证书了。

（5）导入授权的证书。

将mydomain.kdb，www_shenhua_com.p7s两个文件放在D盘下面
CMD输入如下命令导入证书
keytool-import-trustcacerts-alias tomcat-file d:\www_bjfao_gov_cn.p7s-keystore d:\mydomain.kdb
如图提示输入密码，密码为我们第一步骤设置的密码我的是changeit
可以看到结果显示认证回复已按铡已安装在keystore中，说明证书导入成功了
查看证书信息：
keytool-list-v-keystore d:\mydomain.kdb
提示输入密码我的是changeit就是之前设置的密码
出现如图所示为成功！成功了会出现很多的信息，很长啊！
如果不成功则只会出现这样几行信息如下图
如图
这个就说明没有成功啦！
(6)配置本地域名，以方便测试证书。

我们可以通过修改hosts文件来使自己的电脑成为域名服务器。

我参考了
文件在最后加入一行这样我自己的机器就是域名的服务器了
测试一下ping
居然成功了呵呵
这样我就可以测试了。

因为我证书中是这个域名，而不是ip如果我用https://这个才能这证书加密如果我输入https://127.0.0.1是无法测试的ssl证书不会认这个的。

(7)在Weblogic中配置证书。

打开我们的weblogic访问控制台
依次打开：
点击左侧【服务器】点击页面右侧【adminserver管理】【一般信息】
看到页面右侧有启动SSl端口把这个钩钩打上
保存！
然后点击页面上面的【密钥库】
出现如图所示界面
首先这里我要说明一下先要将我们之前生成的mydomain.kdb文件改名
改成mydomain.jks然后将改名后的文件放在weblogic安装目录
weblogic12\Oracle\Middleware\user_projects\domains\base_domain因为我只有一个域就是base_domain，如果你有多个视情况而定哦
然后我们再来看这个界面。

依次填写：
定制标识密钥库:：mydomain.jks
定制标识密钥库类型:jks
定制标识密钥库密码短语:changeit
确认定制标识密钥库密码短语:changeit
Java标准信任密钥库密码短语:changeit
确认Java标准信任密钥库密码短语:changeit
填写好后，点击保存
然后点击头部的【SSL】
出现如图所示界面
依次填写：
私有密钥别名:tomcat（这里是不能乱写的）
依据：我们第一次生成kdb文件的时候的命令
keytool-genkey-alias tomcat-keyalg rsa-keystore d:\mydomain.kdb-keysize2048
您看到了吗这里有个tomcat这就是名字如果您的命令把tomcat改成了别的名字注意这里要填写您改的哦
私有密钥密码短语:changeit
确认私有密钥密码短语::changeit
点击保存即可
(8)成功后的现象（要用IE浏览器才可以看到现象哦）
让我们来访问一下吧
我们现在用https访问一下
输入https://:7001/console
如图
我们会神奇的发现地址栏多了一个小锁呵呵这个锁您还可以双击哦，会出现详细信息的哦，可以试试啊！
（9）成功后
感觉配置这个如果有我这份文档，您就不用担心了，按照文档您应该可以配置成功，即使您第一次操作也没有关系的，只要您细心。

但是本人却是费了很多辛苦的。

所以要把这个文档写详细些，以备今后参考和各位朋友参考。

（10）问题整理
(1)不一定要在服务器上生成csr您可以在自己机器上做好一切后直接在服务器
上部署，导入证书，配置，只要您的密钥库文件保存好，密码记住了就好。

(2)Keytool命令最后只做一次，如果再做的话，换一台电脑再做，因为
第一次您用的下列命令中的tomcat这个名字
keytool-genkey-alias tomcat-keyalg rsa-keystore d:\mydomain.kdb-keysize2048
如果再生成证书还用这个名字即使内容都一样，也可能会出现N多问题的，主要原因是kdb和csr文件不配对，这个我之前纠结了很久，后来我发现这个keytool命令最好是只操作一次，如果再操作一定注意改那个tomcat名字而且之后的命令都要改把原来为tomcat的地方换成你改的名字譬如tomcat1这个要注意哦
（3）weblogci那里的名字我在文档中写了那个名字一定要写命令中的名字如tomcat那个地方一定要写tomcat不然会出问题。

（4）Kdb文件要改名成jks文件，而且还要放在weblogic对应的目录下一般都是我文档中的那个目录。